نحن نتعامل مع لوائح التشفير الروسية ... باستخدام مثال اعتقال سيد المخدرات

رب المخدرات المكسيكي جواكين جوزمان لورا (El Chapo)

منذ وقت ليس ببعيد ، تومض مقال في وسائل الإعلام بأنه تم إلقاء القبض على ملك المخدرات المكسيكي إل تشابو لأن مسؤول تكنولوجيا المعلومات التابع له قد سرب مفاتيح التشفير إلى مكتب التحقيقات الفيدرالي ، وكانوا بدورهم قادرين على فك تشفير محادثاته الهاتفية والاستماع إليها.

دعونا نتخيل ونتخيل أن سيد المخدرات ، شخص تكنولوجيا المعلومات وكل شيء ، كل شيء ، سيعيش الجميع في روسيا ...

قدم؟ والآن سوف نحلل ما هي القوانين وكيف سيتم تنظيم استخدام حماية التشفير في هذه الحالة الوهمية.

حول القصة والشخصيات الرئيسية بمزيد من التفاصيل

إطار من فيلم "Gangs of New York"

استأجر سيد المخدرات إل تشابو كريستيان رودريغيز ، وهو متخصص كولومبي في تكنولوجيا المعلومات يبلغ من العمر 21 عامًا ، لإنشاء نظام اتصالات متنقل مشفر له يمكنه من خلاله التواصل مع شركائه دون خوف من التنصت على المكالمات الهاتفية من قبل الأجهزة الأمنية.

أنشأ رودريغيز نظامًا مماثلًا ، واستناداً إلى الوصف ، كان مهاتفة عبر بروتوكول الإنترنت (VoIP) مع تشفير حركة المرور. تم تثبيت عملاء النظام على الهواتف المحمولة في قطاع الطرق ، وبعد ذلك "كان يكفي لطلب 3 أرقام إضافية" للحديث دون خوف من التنصت على المكالمات الهاتفية.

بعد إدخال النظام ، رافقها رودريغيز ، وشارك أيضًا في مشاريع تكنولوجيا المعلومات الأخرى (على سبيل المثال ، التنصت على المكالمات الهاتفية لزوجته إل تشابو) ، مطيعًا إرادة رب المخدرات.

بعد مرور بعض الوقت ، تم تجنيد رودريجيز من قبل مكتب التحقيقات الفيدرالي وأنه ... وفقًا لـ SecurityLab.ru ، فقد تسرب مفاتيح التشفير ... أو وفقًا لصحيفة نيويورك تايمز "قام بتثبيت معدات التسجيل على الشبكة المشفرة ، والتي تم إرسالها إلى مكتب التحقيقات الفيدرالي في منتصف الليل من جميع مفاوضات El Chapo."

باختصار ، هذا كل شيء. الآن دعنا ننتقل إلى تحليل القوانين.

الترخيص

© لقطة شاشة من لعبة "Heroes of Might and Magic"

تبدأ قصتنا بتعيين El Chapo Rodriguez لتطوير نظام اتصالات آمن.

من حيث الفقرات. 1 ص 1 مقالة 12 من القانون الاتحادي بتاريخ 04.05.2011 N 99- "بشأن ترخيص أنواع معينة من الأنشطة" يجب أن يكون لدى رودريغيز ، من أجل تنفيذ عقد مع El Chapo ، ترخيص "للتشفير".

إذا لم يكن لدى رودريغيز مثل هذا الترخيص ، وانخرط في العمل ، فهذا لهذا ، وفقًا للفن. 13.13 القانون الإداري يهدد الإدارية ، ووفقا للمادة. 171 من القانون الجنائي للاتحاد الروسي المسؤولية الجنائية.

يُسمى الترخيص "للتشفير" بشكل صحيح - ترخيص لتطوير وإنتاج وتوزيع وسائل التشفير (التشفير) وأنظمة المعلومات وأنظمة الاتصالات المحمية باستخدام وسائل التشفير (التشفير) وأداء العمل وتوفير الخدمات في مجال تشفير المعلومات وصيانة التشفير (التشفير) يعني أنظمة المعلومات وأنظمة الاتصالات المحمية باستخدام التشفير (التشفير) redstv (إلا إذا كان الحفاظ على (التشفير) مرافق التشفير ونظم المعلومات وأنظمة الاتصالات محمية باستخدام وسائل التشفير (التشفير)، ونفذت لتأمين احتياجات الكيان القانوني أو رجل الأعمال الفردية). علاوة على ذلك ، من أجل البساطة ، سوف نستخدم الاسم الخاطئ ، ولكن المفهوم والمختصر - ترخيص التشفير.

وفقًا لمرسوم حكومة الاتحاد الروسي المؤرخ 21 نوفمبر 2011 N 957 "بشأن تنظيم ترخيص أنواع معينة من الأنشطة" ، تعمل FSB في روسيا على إصدار تراخيص للتشفير.

يرد وصف الإجراء الخاص بالحصول على الترخيص والترخيص لمتطلبات رودريجيز في مرسوم حكومة الاتحاد الروسي المؤرخ 04.16.2012 N 313 (بصيغته المعدلة بتاريخ 05/18/2017) "بناءً على الموافقة على اللائحة التنفيذية بشأن ترخيص أنشطة تطوير واستحداث وتوزيع وسائل التشفير (التشفير) ونظم المعلومات والاتصالات السلكية واللاسلكية تعني الأنظمة المحمية باستخدام التشفير (التشفير) ، أداء العمل ، تقديم الخدمات في مجال تشفير المعلومات ، صيانة التشفير (التشفير) ، نظم المعلومات وأنظمة الاتصالات المحمية باستخدام التشفير (التشفير) تعني (ما لم يكن الحفاظ على التشفير (التشفير) يعني ، يتم تنفيذ نظم المعلومات وأنظمة الاتصالات السلكية واللاسلكية المحمية باستخدام التشفير (التشفير)) لتوفير احتياجات الكيان القانوني الخاص أو رجل أعمال فردي) . "

في الوقت نفسه ، لا يكفي لرودريغيز أن "يحصل على ترخيص" فحسب ، بل يجب أن يدرج الأنشطة المسموح بها ذات الصلة ، والتي ترد قائمة كاملة بها في ملحق مرسوم حكومة الاتحاد الروسي رقم 16.3.2012 . وفقًا لتكوين الأنشطة المسموح بها ، سيواجه رودريجيز متطلبات الترخيص المختلفة ، بدءًا من المؤهلات التعليمية وحتى الوصول إلى أسرار الدولة.

مع وضع ذلك في الاعتبار ، لم يشترك رودريغيز في تطوير النظام فحسب ، بل وأيضًا في تنفيذه وصيانته ، ومن ثم يجب أن تكون الأنشطة التالية حاضرة في ترخيصه (الترقيم وفقًا لمرسوم حكومة الاتحاد الروسي رقم 16.04.2012 رقم 313):

3. تطوير أنظمة الاتصالات الآمنة باستخدام وسائل التشفير (التشفير).
4. تطوير أدوات لإنتاج الوثائق الرئيسية.
5. تحديث التشفير (التشفير) يعني.
6. تحديث أدوات إنتاج الوثائق الرئيسية.
7. إنتاج (تكرار) التشفير (التشفير) يعني.
9. إنتاج أنظمة الاتصالات المحمية باستخدام التشفير (التشفير).
10. إنتاج أدوات إنتاج الوثائق الرئيسية.
12. التثبيت ، التثبيت (التثبيت) ، ضبط التشفير (التشفير) يعني ، باستثناء التشفير (التشفير) وسائل حماية البيانات المالية ، التي تم تطويرها للاستخدام كجزء من سجلات النقد المعتمدة من قبل دائرة الأمن الفيدرالية في الاتحاد الروسي.
14. التثبيت والتركيب (التثبيت) ، وتعديل أنظمة الاتصالات المحمية باستخدام التشفير (التشفير) يعني.
15. التثبيت والتركيب (التثبيت) ، وتعديل وسائل تصنيع الوثائق الرئيسية.
16. إصلاح التشفير (التشفير) يعني.
18. إصلاح وصيانة أنظمة الاتصالات الآمنة باستخدام وسائل التشفير (التشفير).
19. إصلاح وصيانة وسائل تصنيع الوثائق الرئيسية.
20. العمل على صيانة مرافق التشفير (التشفير) المنصوص عليها في الوثائق الفنية والتشغيلية لهذه المرافق (ما لم يتم تنفيذ العمليات المشار إليها لضمان الاحتياجات الشخصية لكيان قانوني أو منظم فردي).
21. يعني نقل التشفير (التشفير) ، باستثناء التشفير (التشفير) وسائل حماية البيانات المالية ، التي تم تطويرها للاستخدام كجزء من سجلات النقد المعتمدة من قبل دائرة الأمن الفيدرالية في الاتحاد الروسي.
23. نقل أنظمة الاتصالات المحمية باستخدام التشفير (التشفير).
24. نقل وسائل إنتاج الوثائق الرئيسية.

على الفور ، نلاحظ أن استخدام التشفير لأغراضهم الخاصة غير مرخص به في روسيا ، وبالتالي ، لا يلزم وجود ترخيص El Chapo للتشفير.

علاوة على ذلك ، نفترض أن Rodriguez لديه ترخيص "تشفير" مع الأنشطة ذات الصلة.

التطوير والإنتاج

© صور الإنترنت

وفقا لمتطلبات الترخيص ، وهي الفقرات. (ب) الفقرة 6 من مرسوم حكومة الاتحاد الروسي بتاريخ 16.04.2012 N 313 ، يلتزم رودريغيز في عمله بأن يسترشد بالوثائق التنظيمية والمنهجية ذات الصلة الصادرة عن FSB في روسيا ، وأهمها أمر FSB للاتحاد الروسي بتاريخ 09.02.2005 N 66 (بصيغته المعدلة في 12 أبريل 2010) عند الموافقة على "اللائحة التنفيذية لتطوير وإنتاج وبيع وتشغيل التشفير (التشفير) وسائل حماية المعلومات (اللائحة PKZ-2005)" (المسجلة في وزارة العدل في الاتحاد الروسي 03.03.2005 N 6382) " (المشار إليها فيما يلي PKZ-2005).

وفقًا لهذا المستند ، تتكون عملية إنشاء نظام اتصال محمول آمن من الخطوات التالية:

1. التنمية.
2. الإنتاج.
3. انتشار. على الرغم من أن Rodriguez قام بتطوير مخصص / مخصص ، إلا أن عملية نقله إلى العميل تعامل على أنها توزيع.

كل هذه المراحل تنطوي على تعاون وثيق مع FSB في روسيا وتنسيق المهام الفنية والوثائق للنظام الذي يتم إنتاجه.

تشغيل نظام اتصالات متنقل آمن

© صور الإنترنت

نحن نفترض أن تشغيل نظام آمن للاتصالات المتنقلة هو مجال مسؤولية El Chapo. يشارك رودريغيز في هذا فقط. الدعم.

من وصف تاريخ El Chapo ، نتذكر أنه تم إنشاء النظام للحماية من التنصت على المكالمات الهاتفية من قبل وكالات إنفاذ القانون. يرتبط هذا الأساس بشكل ضعيف بالتشريعات الحالية ، وبالتالي ، فإننا نفترض أن الغرض من النظام هو: "حماية المعلومات لتلبية الاحتياجات الشخصية والعائلية". لهذا الغرض من التشغيل ، لا توجد قيود على El Chapo ، ويمكنه فعل ما يريد وكيف يريد مع النظام.

لمقالنا ، هذا بسيط جدا وغير مثير للاهتمام.

بناءً على التحقيق ، تم إثبات أنه في محادثة هاتفية ، أعطى El Chapo أوامر برشوة المسؤولين والرشوة وغالبًا ما يطلق عليهم أسماءهم وألقابهم ومعلومات شخصية أخرى ، أي البيانات الشخصية (المشار إليها فيما يلي - PD).

دعنا نتخيل أن El Chapo ، بعد قراءة القانون الاتحادي الصادر في 27 يوليو 2006 ، "N 152-On" بشأن البيانات الشخصية " ، يفهم أنه مشغل بيانات شخصي وأنه يستخدم بالفعل البيانات الشخصية ليس للاحتياجات الشخصية ، ولكن لنشاط المشاريع ، وأنه مطلوب بموجب القانون لحمايتهم.

حماية تشفير البيانات الشخصية

© صور الإنترنت

نظرًا لأنه أثناء المكالمات الهاتفية ، يتم إرسال PDs بشكل مفتوح عبر شبكة اتصال عامة ، كما يعتقد El Chapo وقرر وجود خطر كبير في اعتراض المهاجمين على PD ، وبالتالي يجب تشفير المعلومات.

لحماية تشفير البيانات الشخصية ، وفقا ل

• بموجب أمر صادر عن دائرة الأمن الفيدرالية بتاريخ 10 يوليو 2014 ، رقم 378 "بشأن الموافقة على تكوين ومحتوى التدابير التنظيمية والفنية لضمان أمن البيانات الشخصية عند معالجتها في أنظمة معلومات البيانات الشخصية باستخدام الحماية المشفرة للمعلومات اللازمة للوفاء بمتطلبات الحماية الشخصية التي وضعتها حكومة الاتحاد الروسي البيانات لكل من مستويات الأمان "
• "مبادئ توجيهية لتطوير الأفعال القانونية المعيارية التي تحدد التهديدات التي تهدد أمن البيانات الشخصية ذات الصلة بمعالجة البيانات الشخصية في نظم معلومات البيانات الشخصية التي تعمل في سياق تنفيذ الأنشطة ذات الصلة" ، والتي وافقت عليها إدارة المركز الثامن من FSB في روسيا (N 149/7/2 / 6- 432 من 31/3/2015)

يجب أن يقوم El Chapo بإنشاء نموذج للمتسلل ، يقوم على أساسه تحديد الفئة المطلوبة لحماية التشفير. نظرًا لأن El Chapo خائف من الخدمات الخاصة ، فهو بحاجة إلى وسيلة لحماية الدرجة القصوى - KA .

افتتح El Chapo قائمة العملات المشفرة المعتمدة من FSB في روسيا ، وعدم العثور على أي شيء مناسب ، تحولت إلى رودريغيز. هنا قصتنا ، مثل العديد من المشاريع في أمن المعلومات ، تجعل حلقة ، ونعود مرة أخرى إلى مرحلة التطوير. دون الخوض في التفاصيل ، نحن نفترض أن Rodriguez صنع وشهادة في FSB للفئة المقابلة في FSB.

نظرًا لأن El Chapo يحمي البيانات الشخصية ، فإن متطلبات PKZ-2005 ملزمة له. لا يوجد شيء خارق للطبيعة في هذه المتطلبات ، وفي الواقع فإنها تُجبر El Chapo فقط على الامتثال لمتطلبات الوثائق التقنية للنظام ، والتي أعدها رودريجيز واتفق عليها مع FSB في روسيا.

بالإضافة إلى الوثائق المذكورة أعلاه ، تلتزم El Chapo بأن تسترشد "بالتعليمات الخاصة بالمنظمة وضمان سلامة التخزين والمعالجة والإرسال من خلال قنوات الاتصال باستخدام وسائل الحماية المشفرة للمعلومات مع وصول محدود لا يحتوي على معلومات تشكل سرًا للدولة" ، والتي تمت الموافقة عليها بموجب أمر FAPSI الصادر في 13 يونيو 2001 سنوات N 152 (عامة الناس - FAPSI 152).

وفقًا لهذه الوثيقة ، سوف تحتاج El Chapo إلى بناء عمليات داخلية تتعلق بتشغيل العملات المشفرة ، من بينها:

• تنظيم التدريب وقبول اللصوص لاستخدام معدات الاتصالات المتنقلة الآمنة (في العلوم - قبول المستخدمين للاستخدام المستقل للعملات المشفرة) ؛
• لكل مثيل محاسبة برامج العملاء ومفاتيح التشفير ؛
• تنظيم منشآت أمنية يتم فيها إجراء صيانة الهاتف وتشكيل مفاتيح التشفير ؛
• وغيرها

تصدير الهواتف المحمولة الآمنة في الخارج

© صور الإنترنت

منذ أن أجرى El Chapo "نشاطًا تجاريًا دوليًا" ، لن تكون حماية الاتصال أثناء التواصل مع "شركاء" أجانب أقل أهمية له من حماية المفاوضات داخل البلاد. للقيام بذلك ، أيًا كان ما يقوله المرء ، سيحتاج إلى نقله إلى الأجانب إما برامج لنظام اتصالاته المحمول ، أو هاتف به عملاء برمجيين مثبتين ومُكَوَّنين بالفعل.

يتم تفسير كل منهما ، وفقًا للقانون الروسي ، على أنه تصدير لأموال التشفير (التشفير) في الخارج ، ووفقًا للائحة التنفيذية بشأن الاستيراد في المنطقة الجمركية للاتحاد الاقتصادي الأوروبي الآسيوي وتصدير وسائل التشفير (التشفير) تعني من المنطقة الجمركية للاتحاد الاقتصادي الأوروبي الآسيوي إلى قرار مجلس اللجنة الاقتصادية للمنطقة الأوروبية الآسيوية بتاريخ 21 أبريل 2015 N 30) محدود (باستثناء الاستخدام الشخصي ، لكن هذا ليس حالنا).

قبل المرور عبر الجمارك ، يتعين على El Chapo الحصول على تصريح تصدير ، وهو نوعان:

1. الإخطار
2. الترخيص

يستخدم الإشعار - وهو شكل مبسط من تصاريح الاستيراد / التصدير - للتشفير "الضعيف" أو "المنزلي". تم تعريف قائمة الأموال الخاضعة للإخطار في الملحق رقم 4 من اللائحة التنفيذية بشأن استيراد الاتحاد الاقتصادي الأوروبي الآسيوي إلى الاتحاد الجمركي والتصدير من الاتحاد الجمركي الأوروبي الآسيوي للتشفير (التشفير) من إقليم الجمارك (الملحق رقم 9 بقرار مجلس اللجنة الاقتصادية الأوروبية الآسيوية بتاريخ 21 أبريل 2015) رقم 30

نظرًا لأن نظام الاتصالات المحمولة الآمن الخاص بشركة El Chapo يحتوي على فئة حماية تشفير للمركبة الفضائية ، فلن يكلف ذلك إشعارًا ، وسيتعين عليه الحصول على ترخيص للتصدير. للقيام بذلك ، سيتعين عليه متابعة البحث ، والمهمة الموضحة في قرار مجلس اللجنة الاقتصادية للمنطقة الأوروبية الآسيوية بتاريخ 06.11.2014 N 199 (بصيغته المعدلة بتاريخ 19/19/2016) "في التعليمات الخاصة بتنفيذ طلب الحصول على ترخيص للتصدير و (أو) استيراد أنواع معينة البضائع وتسجيل مثل هذا الترخيص والتعليمات المتعلقة بإصدار تصاريح للتصدير و (أو) استيراد أنواع معينة من البضائع " ، وهو بعيد عن حقيقة أنه سيكون قادراً على القيام بذلك ...

الخاتمة

آمل أنه مع هذا المثال الوهمي ، يمكنك الحصول على أفكار عامة حول الاتجاهات الرئيسية لتنظيم التشفير في الاتحاد الروسي. لمزيد من التطوير ، أوصي بأن تتعرف على قائمة القوانين التشريعية والتنظيمية الأساسية التي تحكم أمن المعلومات في روسيا.

المتسلل المؤلف ، مثل كل الإنسانية التقدمية ، يدين بشدة الاتجار غير المشروع بالمخدرات والأنشطة الإجرامية الأخرى. الشمس والهواء والماء هي أفضل أصدقائنا.